Resiliencia operativa: DORA, NIS 2 e ISO 22301 en un solo lugar.

Cómo se relacionan los tres marcos entre sí, dónde se solapan las obligaciones y cómo gestionar un único programa de resiliencia que satisfaga las tres auditorías.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyResilience & continuityAll pillars

La perspectiva de Cyber Academy

La resiliencia operativa es la capacidad de una organización para prestar servicios críticos a través de una disrupción y, después, recuperarse. Tres marcos la regulan en Europa: ISO 22301 (norma de BCMS, la capa operativa), NIS 2 (obligación de continuidad de negocio del Article 21 para las entidades en su ámbito), DORA (Articles 11-12 para las entidades financieras, más pruebas específicas). Un único programa puede satisfacer los tres; gestionarlos como flujos de trabajo separados duplica el esfuerzo y genera inconsistencias.

TL;DR

  • 1ISO 22301 es la columna vertebral operativa: BIA, objetivos de recuperación, BCP, runbooks, ejercicios de simulación (tabletop) y BCMS bajo revisión por la dirección.
  • 2NIS 2 añade la notificación de incidentes (alerta temprana a las 24 horas, notificación a las 72 horas, informe a un mes) y la continuidad de la cadena de suministro.
  • 3DORA añade las pruebas específicas para entidades financieras (pruebas de penetración basadas en amenazas para las entidades significativas cada tres años), el registro de terceros de ICT y la supervisión a nivel de ESA para los proveedores críticos.
  • 4Lead Operational Resilience Manager (credencial PECB) está diseñado específicamente para integrar los tres.
  • 5Mapea una vez, audita tres: un único BCMS alineado con 22301 y con asignaciones de controles de NIS 2 y DORA satisface las tres auditorías.

Por qué un programa, y no tres

El instinto dentro de la mayoría de las organizaciones es tratar ISO 22301, NIS 2 y DORA como tres proyectos de cumplimiento separados, a menudo a cargo de tres equipos distintos: continuidad de negocio, operaciones de seguridad y una función de regulación financiera o de riesgos. Esa es la forma más cara de hacerlo. Terminas con tres análisis de impacto en el negocio que no coinciden sobre qué servicios son críticos, tres conjuntos de objetivos de recuperación que nadie concilia y tres calendarios de ejercicios que agotan a las mismas personas. Los auditores detectan las costuras de inmediato.

Los marcos no son competidores. ISO 22301 te da el sistema de gestión: el análisis de impacto en el negocio (BIA), los objetivos de tiempo de recuperación y de punto de recuperación, los planes de continuidad y de recuperación, los ejercicios y el bucle de revisión por la dirección. NIS 2 y DORA no sustituyen nada de eso. Añaden obligaciones por encima, sobre todo en torno a la notificación de incidentes, el aseguramiento de la cadena de suministro y (para DORA) un régimen de pruebas específico. Si tu BCMS está bien construido, las capas regulatorias se acoplan a él en lugar de duplicarlo.

Construye primero la columna vertebral. El curso ISO 22301 Lead Implementer es el que te enseña a levantar el sistema de gestión del que cuelga todo lo demás; si solo necesitas entender la estructura y el vocabulario, comienza con el curso ISO 22301 Foundation.

Qué añade realmente cada marco

La forma honesta de leer los tres es como un núcleo operativo más dos capas regulatorias. ISO 22301 es el núcleo porque es el único de los tres que prescribe cómo construir y mantener la propia capacidad de continuidad. NIS 2 y DORA dan por supuesto que esa capacidad existe y luego imponen deberes encima: a quién debes informar cuando algo se rompe, con qué rapidez y cómo debes demostrar que la capacidad funciona.

Cómo encajan ISO 22301, NIS 2 y DORA
MarcoQué añade por encima del núcleoA quién se aplica
ISO 22301El propio sistema de gestión de la continuidad de negocio: BIA, RTO/RPO, planes de continuidad y de recuperación, runbooks, ejercicios, revisión por la dirección. La columna vertebral operativa que los otros dos dan por supuesta.Cualquier organización, de forma voluntaria. Certificable pero no exigida legalmente.
NIS 2Plazos de notificación de incidentes (alerta temprana, notificación, informe final), deberes de continuidad de negocio y de gestión de crisis, seguridad de la cadena de suministro y responsabilidad de la dirección.Entidades esenciales e importantes en sectores designados de toda la UE (energía, transporte, salud, infraestructura digital, administración pública y más).
DORAResiliencia de ICT del sector financiero: un programa de pruebas de resiliencia operativa digital que incluye pruebas de penetración basadas en amenazas para las entidades significativas, el registro de terceros de ICT y la supervisión directa de los proveedores críticos de ICT.Entidades financieras de la UE (bancos, aseguradoras, empresas de inversión, proveedores de criptoactivos) y sus terceros críticos de ICT.

Lee la tabla de arriba abajo y el diseño se vuelve evidente. Implementas ISO 22301 una vez. NIS 2 y DORA te dicen entonces qué evidencia quiere ver el regulador de ese único sistema, y DORA añade una disciplina de pruebas que va más allá de los ejercicios de simulación (tabletop) que ISO 22301 espera.

Cómo funciona en la operación

En términos del día a día, la integración vive en tres artefactos, y acertar con ellos es la mayor parte del trabajo. El primero es un catálogo de servicios y un BIA únicos y autorizados. Decide una sola vez qué servicios son críticos, cuál es su tolerancia a la disrupción y de qué dependen. Cada marco lee entonces de esa única fuente. Si tu alcance de NIS 2 y tu lista de funciones críticas o importantes de DORA no coinciden con tu BIA de ISO 22301, ya has perdido el argumento de la auditoría antes de que empiece.

El segundo es una cadena de incidentes unificada. ISO 22301 quiere que detectes, respondas e invoques los planes de continuidad. NIS 2 y DORA quieren que notifiques, contra reloj, a una autoridad competente. Construye un único proceso de detección y triaje cuya salida alimente tanto la respuesta de continuidad interna como el flujo de notificación regulatoria. El reloj de notificación arranca en el momento del conocimiento, así que el cuello de botella rara vez es el plan de continuidad; es la decisión de si un evento es notificable y la velocidad para redactar la notificación temprana. Las plantillas de notificación previamente redactadas y un responsable de escalado claro valen más que cualquier herramienta aquí.

El tercer artefacto es el programa de pruebas y ejercicios, y aquí es donde DORA aprieta más fuerte. Los ejercicios de ISO 22301 validan los planes; DORA exige un programa de pruebas documentado y, para las entidades significativas, pruebas de penetración basadas en amenazas en un ciclo plurianual. El curso DORA Lead Manager cubre el régimen de pruebas y el registro de terceros de ICT con la profundidad que exige la regulación, mientras que el curso Lead Operational Resilience Manager es el que está diseñado específicamente para gestionar los tres marcos como un único programa.

La decisión: certificar, alinear o ambas

Una pregunta habitual es si necesitas la certificación ISO 22301 para satisfacer NIS 2 o DORA. No la necesitas. Ninguna regulación exige el certificado. Pero la norma es el modelo más ampliamente reconocido para la capacidad que ambas regulaciones dan por supuesta, así que la mayoría de los equipos se alinean con ISO 22301 incluso cuando eligen no certificarse. La decisión se divide con claridad: alinéate con ISO 22301 para obtener un BCMS coherente y defendible; certifícate por encima solo si un cliente, una licitación o un consejo quiere un aseguramiento de terceros sobre ello.

Si decides buscar el certificado, comprende la perspectiva de la auditoría desde ambos lados de la mesa. Los implementadores construyen el sistema; los auditores comprueban si se sostiene.

Para realizar la auditoría de certificación (interna o como organismo de certificación), el curso ISO 22301 Lead Auditor enseña la metodología de auditoría y cómo evaluar un BCMS frente a la norma, que también es la forma más rápida de aprender con qué evidencia se juzgará tu propio programa.

Dónde fallan los programas

Los fallos recurrentes son predecibles, y casi todos provienen de tratar los marcos como separados en lugar de en capas.

  1. Tres BIA que no coinciden. Continuidad, seguridad y finanzas definen la criticidad de forma distinta cada uno. Corrígelo exigiendo un único BIA que las tres funciones firmen.
  2. Planes que pasan el ejercicio pero fallan en el evento. Los ejercicios de simulación (tabletop) que recorren una presentación de diapositivas no demuestran nada. Prueba la invocación, no la narración: haz realmente la conmutación por error, restaura realmente desde la copia de seguridad, contacta realmente con las personas del árbol de llamadas.
  3. Confundir las funciones de continuidad, recuperación y respuesta a incidentes. La continuidad de negocio mantiene el servicio en marcha, la recuperación ante desastres restaura la tecnología y la respuesta a incidentes contiene la causa. Son disciplinas distintas que deben traspasarse el control de forma limpia.
  4. Pasar por alto el reloj de notificación. El plan de continuidad funcionó pero nadie presentó a tiempo la alerta temprana. La notificación regulatoria es una obligación separada, con un plazo acotado, y necesita su propio responsable.
  5. Tratar la gestión de crisis como una ocurrencia tardía. Cuando un incidente escala, la toma de decisiones, no la recuperación técnica, es el punto de fallo.

Dos de esos fallos tienen remedios dedicados. El curso Lead Disaster Recovery Manager separa la recuperación tecnológica de la continuidad de negocio para que las dos dejen de confundirse, y el curso Certified Lead Crisis Manager construye la estructura de mando, comunicación y decisión que aguanta cuando un incidente se convierte en una crisis.

La realidad de la sala de auditoría

Lo que un evaluador de cualquiera de los tres marcos sondea en realidad es si tu resiliencia es real o de papel. Pedirán el BIA y luego preguntarán quién lo aprobó y cuándo se revisó por última vez. Pedirán tu último ejercicio y luego preguntarán qué falló y qué cambiaste como resultado, porque un ejercicio sin hallazgos es una señal de alarma, no un certificado de buena salud. Para las entidades DORA, pedirán el programa de pruebas y el registro de terceros y esperarán que ambos estén al día, no reconstruidos la semana anterior.

Los equipos que aprueban con calma son los que gestionan un único programa: un BIA, una cadena de incidentes que alimenta tanto la respuesta interna como la notificación regulatoria, un calendario de ejercicios que de verdad rompe cosas y un único mapeo de controles que les permite responder a tres reguladores desde la misma base de evidencia. Construye bien la columna vertebral de ISO 22301, acopla deliberadamente sobre ella las obligaciones de NIS 2 y DORA, y la frase que debería describir tus auditorías es: mapea una vez, audita tres.

Frequently asked questions

01¿Necesito la certificación ISO 22301 bajo NIS 2 o DORA?

No. Ni NIS 2 ni DORA exigen la certificación ISO 22301. Ambos requieren que la organización opere capacidades de continuidad de negocio y de resiliencia que logren resultados específicos (recuperarse en los plazos acordados, notificar incidentes dentro de los plazos, probar los planes). Un BCMS conforme con ISO 22301 demuestra esas capacidades de forma clara ante un supervisor.

En la práctica, las entidades financieras y los operadores de importancia vital a menudo buscan la certificación ISO 22301 porque la evidencia de auditoría que exigen NIS 2 y DORA coincide casi uno a uno con la evidencia de la certificación.

02¿Cuál es la relación entre BCP, DR y respuesta a incidentes?

Tres disciplinas que se solapan. Los Planes de Continuidad de Negocio (BCP) cubren cómo el negocio sigue operando a través de una disrupción: dotación de personal, sitios alternativos, soluciones provisionales, comunicación. La Recuperación ante Desastres (DR) cubre la restauración específica de TI de los sistemas y los datos. La Respuesta a Incidentes (IR) cubre el ciclo de detección a recuperación de los incidentes de seguridad.

Un programa maduro los gestiona como uno solo. El mismo manual de actuación recorre desde la detección del incidente (IR) hasta la recuperación de los sistemas (DR) y la continuación de la operación del negocio (BCP). Distintos equipos pueden ejecutar distintas fases, pero el plan está integrado.

03¿Qué son las pruebas de penetración basadas en amenazas bajo DORA?

TLPT es el ejercicio de red team supervisado por el regulador que se exige a las entidades financieras significativas bajo DORA, al menos cada tres años. Construido sobre TIBER-EU. Impulsado por inteligencia (un equipo de inteligencia de amenazas independiente elabora el perfil del atacante), dirigido a funciones críticas o importantes, supervisado por la autoridad nacional.

TLPT es un trabajo de varios meses y de varios cientos de miles de euros. Es la prueba de resiliencia más rigurosa a la que se enfrentará un CISO financiero, y la que expone al SOC, las reglas de detección y la cadena de respuesta a incidentes tal y como son en realidad.

04¿Cómo estructuro un único programa de resiliencia?

Comienza con el BCMS (columna vertebral de ISO 22301): alcance, BIA, objetivos de recuperación, planes, pruebas, revisión por la dirección. Añade los procedimientos de notificación de incidentes de NIS 2 y las obligaciones de continuidad de la cadena de suministro del Article 21. Añade el calendario de pruebas específico de DORA, el registro de terceros de ICT y la clasificación de incidentes para las entidades financieras.

Mapea los controles en un único documento de asignación que muestre qué cláusula de qué marco satisface cada control. Los auditores reconocen el mapeo y dejan de hacer preguntas duplicadas.

Ediciones que convierten la lectura en una certificación.

ISO 22301 FoundationPECB

ISO 22301 Foundation

Foundation2 days
Autónomo. Comience cuando quiera

Certificación ISO 22301 Foundation acreditada por PECB. Formación en directo online con garantía de certificación o reembolso.

Live €1099

Self-paced €499

Book
ISO 22301 Lead ImplementerPECB

ISO 22301 Lead Implementer

Lead Implementer5 days
Autónomo. Comience cuando quiera

Certificación ISO 22301 Lead Implementer acreditada por PECB. Formación en línea en directo con garantía de certificación o reembolso.

Live €2499

Self-paced €899

Book
ISO 22301 Lead AuditorPECB

ISO 22301 Lead Auditor

Lead Auditor5 days
Autónomo. Comience cuando quiera

Certificación ISO 22301 Lead Auditor acreditada por PECB. Formación en directo online con garantía certificado o reembolso.

Live €2499

Self-paced €899

Book
Lead Operational Resilience ManagerPECB

Lead Operational Resilience Manager

Lead5 days
Autónomo. Comience cuando quiera

Certificación Lead Operational Resilience Manager acreditada por PECB. Formación en vivo online con garantía de certificación o reembolso.

Live €2499

Self-paced €899

Book
DORA Lead ManagerPECB

DORA Lead Manager

Manager5 days
Autónomo. Comience cuando quiera

Conviértase en DORA Lead Manager certificado. Implemente la resiliencia operativa digital en entidades financieras. Curso acreditado por PECB con examen incluido.

Live €2499

Self-paced €899

Book
Lead Disaster Recovery ManagerPECB

Lead Disaster Recovery Manager

Lead5 days
Autónomo. Comience cuando quiera

Certificación PECB Lead Disaster Recovery Manager. Formación en directo online con garantía de certificación o reembolso.

Live €2499

Self-paced €899

Book
Certified Lead Crisis ManagerPECB

Certified Lead Crisis Manager

Lead5 days
Autónomo. Comience cuando quiera

Certificación Certified Lead Crisis Manager acreditada por PECB. Formación online en directo con garantía certificado o reembolso.

Live €2499

Self-paced €899

Book

Pilar leído. ¿Qué sigue?

Cada pilar enlaza con la edición que lo convierte en una certificación. Explora el catálogo o háblanos para un itinerario personalizado.